泛海soho中心智能化工程网络说明13.03.08

1、原设计配置方案说明主要业务需求说明依据原招标文件要求，网络主要需求如下：一、整个网络分为三大业务：内网、外网和物业网；二、内、外和物业网共用核心交换机及出口防火墙，接入交换机分离， 采用VLAN方式进行隔离，各网间原则上不互访；三、重要区域提供wifi覆盖，为客户提供上网浏览，同时提供认证功能。 依据以上主要需求，前期投标方案说明如下：L 1.2.总体结构说明本次泛海soho中心智能化工程网络按照万兆交换平台、千兆骨干网络、千 兆到桌面设计，共用的核心交换机单机冗余电源、冗余引擎。网络拓扑设计采用二级架构，分为核心层和接入层。核心层位于一层消控中 心机房，负责全网的路由交换，并与各服务器、防火

2、墙、存储等核心应用相连。接入层位于大楼内的楼层，负责直接接入桌面系统，本次设计采用千兆到桌 面，与核心层进行千兆连接，可实现桌面的端到端千兆连接，同时各交换机提供 P0E功能，为各无线AP供电。在接入层，选用的千兆接入交换机具备可以采用一条千兆上行，也可以使用 多条千兆光纤捆绑上行至核心交换机（提供升级扩容可能）。在无线接入层，考虑到整体的无线接入点数量很多，直接使用Fit AP加AC 控制器的方式，AC控制器部署在核心交换机，以AC无线控制器插卡的方式公用 核心交换机的资源，做到有线、无线一体化的融合网络解决方案，采用瘦AP组 网方式，办公人员在使用无线网络中能做到无缝漫游。终端PC通过无线

3、上网时，可采用多种认证方式，如Portal, PPPOE, 802. lx 等。网络出口部署高性能防火墙，集成防火墙、VPN、内容过滤和NAT地址转换 等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。.1. 3.核心层设计及配置.3.1.核心层功能说明一、泛海soho中心网络核心交换机主要需要连接的节点如下：1、中心机房服务器群，包含内部业务应用服务器和必要的网络业务支 撑系统服务器，至少为以下几个系统：iMC网络管理平台服务器；WSM无线管理平台服务器；UAM用户接入服务器；服务器接入为铜缆六类双绞线，连接带宽为1000Mbpso2、各弱电管理间接入交换机，共10组接入，采用

4、1000M多模光纤接 入。3、 网络出口防火墙，连接外部Internet,连接带宽1000Mbps。另外需要考虑扩展连接需要。二、核心层流量模型：整个网络拓扑接口为星型，内部业务主要以访问服务器及Internet为主， 因此核心层设备担负着整个网络的流量。在网络核心层的流量比较大，所有的服 务器均在网络的核心层提供相关的服务，对网络核心层的压力最大，所有核心层 需要能提供整网的交换容量。三、核心层可靠性要求考虑性价比，整网为单核心设计，由于集中的流量模型和单核心星型结构， 网络也基本是一个金字塔的形状，核心层对网络的安全性、稳定性的要求比较高。 因此考虑几个关键部件的冗余，双电源及双引擎配置。

5、四、核心层业务控制核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发 的功能，同时还需要保证不同级别的网络QoS,对于服务器的关键业务通过链路 级和网络级的协议实现严格的控制和优先级的保证。核心层终结来自各接入交换机二层VLANo1.1. 3. 2.核心层配置说明由于泛海soho中心网络同时承载多种业务，所有数据业务都要经过核心交 换机处理，因此配置113c S7506E-S中高端交换机为业务系统核心交换机。在核心交换机除配置有线速转发的千兆光电业务板卡外，还配置有一块AC 控制器插卡，负责整网146台Fit AP的统一管理。核心交换机(S7506E-S)与接入交换机(S5120

6、-28P-HPWR)之间通过千兆光纤 链路连接，若将来业务扩展需要，可将多条物理链路进行捆绑，保护当前投资， 又考虑目前的投入，核心交换机为接入的用户提供缺省网关，核心交换机配置说明：L 3. 3.设备配置序号设备型号单位数量备注1LS-7506E-S台1核心交换机机箱2LSQM1SRPB0块2冗余引擎3LSQM1AC1400块2冗余电源4LSQM1GP24TSC0块124端口千兆/百兆以太网光接LI模块 (SFP,LC),其中8端口可光电复用(电 口连接服务器、防火墙，光口连接接入 交换机。5LSQM1WCMD0块1无线控制卡，支持各接入AP的控制6SFP-GE-SX-MM850-A个10千

7、兆多模光模块，连接接入交换机。4.接入层网络的接入是对用户直接进行数据透传的层次，但是由于网络的特殊性，本 次的接入层主要是对一个局域网进行接入。接入层主要实现以下功能：一、为无线AP提供1000Mbps的网络接入;二、为有线终端、设备提供1000Mbps的网络接入；三、为无线AP提供P0E供电；四、不同端口划分不同VLAN,对用户进行分组，可根据需求进行隔离或 共享；五、对用户进行Qos分组；六、提供802. IX端口认证接入。接入层根据点位数分布，并进行堆叠，每个堆叠组可以使用单一 IP管理。网络出口安全网络出口部署一台高性能防火墙，SecPath F1000-S-AI,集成防火墙、VPN

8、、 内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供 全面的安全防护。出口防火墙主要提供以卜.功能：一、提供NAT转换，为内部网络连接互联网提供地址转换；二、提供VPN功能，可支持IPSEC VPN/SSL VPN,为远程用户访问泛海 soho内部网络提供安全通道；三、能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤 等功能，有效的保证网络的安全；四、提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用 户进行网络管理。无线网络设计配置L L6. 1.组网方案本次无线网主要需求说明如下：一、提供主要公共区域无线覆盖；二、覆盖带宽为300Mbps（2.

9、4GHZ频段覆盖，兼容802. Ub/g/n）；三、用户接入认证采用Portal和802. IX方式，宾客可采用Portal方式, 办公员工可使用802. IX或PPP0E方式。目前总共设置的AP数为146个，实际覆盖范围需要根据安装环境及接入用 户情况调整。考虑到整体的无线接入点数量很多，直接使用Fit AP加AC控制器的方式， AC控制器部署在核心交换机，以AC无线控制器插卡的方式公用核心交换机的资 源，做到有线、无线一体化的融合网络解决方案，采用瘦AP组网方式，办公人 员在使用无线网络中能做到无缝漫游。1.1. 6. 2.认证方式在认证点选择方面，由于H3c公司提供的是(FTTWA261

10、0i-GN)加核心交换 机上无线AC控制器插卡进行组网的方案，(FIT WA2610i-GN)与AC控制器通过 二层隧道协议通信，无线用户的认证点都是放置于AC控制器上。这样组网的优 势是：当用户在不同(FIT WA2610i-GN)之间进行L2、L3漫游切换的时候，可 由AC控制器对用户的漫游切换进行管理控制，对于用户来说可以在无需重新认 证的情况下跨区域开展业务。业界主要采用802. IX认证终端软件与AP、无线交换机、iMC配合使用进行 802. lx认证，或者采用Portal认证,后面具有Portal/Web与802. IX认证二种 方式的比较。目前无线交换机能够同时支持802. 1X

11、/WEB PORTAL认证，当用户数较少的时 候，可以在AC控制器本地建立用户数据库，将用户鉴权点放在AC控制器本地进 行；当用户数达到一定规模的时候，也可将用户数据库放在113c的iMC系统上， iMC与AC控制器配合作为用户鉴权点。本次建设用户数较多，建议单独设立服 务器配置用户认证数据库。以下是Portal/Web与802. IX两种认证方式比较，后期根据需要选择。功能WEB认证802.1 x认证客户端软件不需要需要客户端版本限制不支持支持自动探测并屏蔽代理服务器不支持支持限制多网卡、拨号上网不支持支持显示当前网络状态及认证状态支持支持异常下线探测功能支持支持功能WEB认证802.1 x

12、认证消息下发不支持支持对AAA服务器的特别要求无无分布式认证支持支持网络性能影响低低Radius服务器的性能影响无无标准化程度低高IP地址浪费无无1.1. 6. 3.有线无线混合方式下认证对有线用户和无线用户进行分别认证，有线用户在以太网交换机上实现认 证，无线用户在无线交换机设备上实现认证。通过在iMC上设定对应的绑定区 域，对于只能使用有线上网的用户绑定所有以太网交换机IP地址，无线上网用 户由于其漫游特性，无需绑定到无线交换机的IP地址。1. 1.6. 4.主要配置说明序号设备型号单位数量备注1LSQM1WCMD0块1无线控制器，缺省支持128个AP2LIS-WX-128-A套1无线管理

13、授权，128个授权3EWP-WA2610i-GN-FIT台1494SWP-IMC-WSM套1无线管理组件5LIS-IMC-WSMD-200套1无线管理组件授权6SWP-IMC-UAM套1用户认证模块，提供AAA认证7LIS-IMC-LAMA-1K套1用户认证模块授权7.网络管理设计配置在核心机房部署网络管理系统:智能管理中心iMC,具备网络拓扑、网络性能、网络配置、网络安全、网络 告警、网络业务的统一管理.，同时在其上可以配置有多种业务管理组件，本次配置有线无线一体化管理组件WSM,方便管理大规模的无线管理网络。UAM组件，为无线用户接入提供AAA认证功能。原配置方案主要问题一、核心交换机LS-7506E-S与所配引擎LSQM1SRPB0不兼容，应将 核心交换机型号变更为LS-7506E